入侵检测的提出 入侵检测的任务 回检测来自内部的攻击事件和越权访问 85%以上的攻击事件来自于内部的攻击 ■防火墙只能防外,难于防内 回入侵检测系统作为防火墙系统的一个有效的补充 ■入侵检测系统可以有效的防范防火墙开放的服务入侵 ■通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击 或滥用网络系统的人员。 ■检测其它安全工具没有发现的网络工具事件。 ■提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管 理员发现网络的脆弱性
6 入侵检测的提出 入侵检测的任务 ₪检测来自内部的攻击事件和越权访问 ■ 85%以上的攻击事件来自于内部的攻击 ■ 防火墙只能防外,难于防内 ₪入侵检测系统作为防火墙系统的一个有效的补充 ■ 入侵检测系统可以有效的防范防火墙开放的服务入侵 ■ 通过事先发现风险来阻止入侵事件的发生,提前发现试图攻击 或滥用网络系统的人员。 ■ 检测其它安全工具没有发现的网络工具事件。 ■ 提供有效的审计信息,详细记录黑客的入侵过程,从而帮助管 理员发现网络的脆弱性
入侵检测的提出 入侵检测的发展历史 ■1980年, James Anderson最早提出入侵检测概念 1987年,D.E. Denning首次给出了一个入侵检测的抽象模型, 并将入侵检测作为一种新的安全防御措施提出 ■1988年, Morris蠕虫事件直接刺激了Ds的研究 1988年,创建了基于主机的系统,有IDES, Haystack等 1989年,提出基于网络的DS系统有NsM,NADR,DDS等 90年代,不断有新的思想提出,如将人工智能、神经网络、模 糊理论、证据理论、分布计算技术等引入Ds系统 ■2000年2月,对 Yahoo!、 Amazon、CNN等大型网站的DDos 攻击引发了对Ds系统的新一轮研究热潮 ■2001年~今, Redcode、求职信等新型病毒的不断出现,进一 步促进了DS的发展
7 入侵检测的提出 入侵检测的发展历史 ■ 1980年,James Anderson最早提出入侵检测概念 ■ 1987年,D.E.Denning首次给出了一个入侵检测的抽象模型, 并将入侵检测作为一种新的安全防御措施提出。 ■ 1988年,Morris蠕虫事件直接刺激了IDS的研究 ■ 1988年,创建了基于主机的系统,有IDES,Haystack等 ■ 1989年,提出基于网络的IDS系统,有NSM,NADIR, DIDS等 ■ 90年代,不断有新的思想提出,如将人工智能、神经网络、模 糊理论、证据理论、分布计算技术等引入IDS系统 ■ 2000年2月,对Yahoo!、Amazon、CNN等大型网站的DDOS 攻击引发了对IDS系统的新一轮研究热潮 ■ 2001年~今,RedCode、求职信等新型病毒的不断出现,进一 步促进了IDS的发展
入侵检测系统的基本结构 响应单元输出:反应或事件 输出:高级中断事件 输出:事件的存储信息 事件分析器 事件数据库 输出:原始或低级事件 事件产生器 输入:原始事件源
8 入侵检测系统的基本结构 输出:反应或事件 输出:高级中断事件 输出:事件的存储信息 输出:原始或低级事件 输入:原始事件源 事件产生器 响应单元 事件分析器 事件数据库
入侵检测系统的基本结构 (1)事件产生器 事件产生器采集和监视被保护系统的数据,这些数据可以 是网络的数据包,也可以是从系统日志等其他途径搜集到的 信息。并且将这个数据进行保存,一般是保存到数据库中。 (2)事件分析器 事件分析器的功能主要分为两个方面:一是用于分析事件 产生器搜集到的数据,区分数据的正确性,发现非法的或者 具有潜在危险的、异常的数据现象,通知响应单元做出入侵 防范;一是对数据库保存的数据做定期的统计分析,发现某 段时期内的异常表现,进而对该时期内的异常数据进行详细 分析
9 入侵检测系统的基本结构 (1) 事件产生器 事件产生器采集和监视被保护系统的数据,这些数据可以 是网络的数据包,也可以是从系统日志等其他途径搜集到的 信息。并且将这个数据进行保存,一般是保存到数据库中。 (2) 事件分析器 事件分析器的功能主要分为两个方面:一是用于分析事件 产生器搜集到的数据,区分数据的正确性,发现非法的或者 具有潜在危险的、异常的数据现象,通知响应单元做出入侵 防范;一是对数据库保存的数据做定期的统计分析,发现某 段时期内的异常表现,进而对该时期内的异常数据进行详细 分析
(3)响应单元 响应单元是协同事件分析器工作的重要组成 部分,一旦事件分析器发现具有入侵企图的异常 数据,响应单元就要发挥作用,对具有入侵企图 的攻击施以拦截、阻断、反追踪等手段,保护被 保护系统免受攻击和破坏。 (4)事件数据库 事件数据库记录事件分析单元提供的分析结 果,同时记录下所有来自于事件产生器的事件, 用来进行以后的分析与检查。 10
10 (3) 响应单元 响应单元是协同事件分析器工作的重要组成 部分,一旦事件分析器发现具有入侵企图的异常 数据,响应单元就要发挥作用,对具有入侵企图 的攻击施以拦截、阻断、反追踪等手段,保护被 保护系统免受攻击和破坏。 (4) 事件数据库 事件数据库记录事件分析单元提供的分析结 果,同时记录下所有来自于事件产生器的事件, 用来进行以后的分析与检查